Обычно для включения SSL не требуется вносить значительных изменений в ваши сайт/веб-приложение, но кое-что понимать следует. Настройки для SSL по умолчанию в веб-серверах не дают поддержки большинства возможностей протокола и современных браузеров сегодня (а значит, и безопасности), и скорее направлены на поддержку абсолютно максимального количества браузеров и ОС, даже устаревших. Очень устаревших. Вряд ли это то, что вы хотите.
Я решил оформить советы по настройке веб-сервера Nginx в виде примера конфигурации с комментариями. Конфигурации во многом основана на рекомендациях от EFF и SSL Labs (у них много интересного на сайте, включая онлайн-тестер SSL, который позволяет выявить некоторые проблемы с конфигурацией). Учтите, что это лишь пример конфигурации SSL, не забудьте и про специфичные параметры своего сайта, и этот пример ни в коей мере не является абсолютно универсальным, и ни в коей мере не гарантирует вам 100% безопасности (или чего бы то ни было). Имейте свою голову на плечах тоже ;) Тем не менее, этот пример не высосан из пальца, и, например, конфигурация nginx используется на моих сайтах с изменениями, не касающимися HTTPS.
Есть еще одна важная деталь. Так как изначально обмен сертификатами между сервером и клиентом происходил до запроса страницы, сервер не мог знать, по какому доменному имени происходит обращение, чтобы выдать подходящий сертификат. Поэтому довольно долго существовало ограничение в один сертификат на IP-адрес, пока не было разработано расширение SNI. Суть в том, что при запросе сертификата в открытом виде также передается доменное имя, и на основе этого сервер выбирает подходящий сертификат. По идее, SNI позволяет включить HTTPS на серверах, где расположено несколько сайтов, в частности, на виртуальных хостингах, особо популярных в PHP-мире, но, к сожалению, не все хостеры хотят возиться с поддержкой SSL. Если же у вас свой выделенный или виртуальный сервер, настройка SSL не должна вызвать затруднений. Если у вас обыкновенный «хостинг с PHP и MySQL», рекомендую обратиться к справке вашего хостинга, чтобы узнать, как, и возможно ли включить HTTPS.
Перед тем, как мы начнем, я предполагаю, что вы уже имеете на руках сертификат, выпущенный доверенным центром. В итоге у вас должно быть два файла, один из которых является приватным ключем (private key), а другой - непосредственно сертификатом (certificate). Ни в коем случае никому и никогда не показывайте свой приватный ключ. Кроме того, я предполагаю, что ваш сайт уже настроен и работает по обычному HTTP.
Читать далее →
